Firme elettroniche e
documento informatico
Claudia Cevenini
30 novembre 2005
Lezione tenuta nell’ambito del corso di:
INFORMATICA E INFORMATICA DI BASE
Facoltà di Giurisprudenza - Corso di laurea in Consulenti del Lavoro
Titolare del corso: Francesco Tura ([email protected])
Concetti di base
Il concetto di documento
L’ordinamento giuridico italiano non prevede una definizione
di ‘documento’ in generale. Dottrina: “oggetto corporale che
reca una serie di segni tracciati direttamente dall’uomo o da
apparati predisposti dall’uomo, volti a conferirgli una portata
rappresentativa” (Irti, Sul concetto giuridico di documento).
Elemento materiale (res signata), elemento immateriale
(contenuto).
Documento più comune: documento cartaceo scritto.
Codice civile: atti pubblici (2699-2701), scritture private
(2702-2708), riproduzioni meccaniche (2719).
3
Scrittura privata
Art. 2702 c.c. Efficacia della scrittura privata.
“La scrittura privata fa piena prova, fino a querela di falso,
della provenienza delle dichiarazioni da chi l’ha sottoscritta,
se colui contro il quale la scrittura è prodotta ne riconosce la
sottoscrizione, ovvero se questa è legalmente considerata
come riconosciuta.”
4
La sottoscrizione autografa
Scrittura di pugno del nome e cognome in calce a un
documento.
Funzioni:
indicativa (identifica la persona che sottoscrive),
dichiarativa (assunzione della paternità del documento),
probatoria (provare l’autenticità del documento).
5
Atto pubblico
Art. 2699. Atto pubblico.
“L’atto pubblico è il documento redatto, con le richieste
formalità, da un notaio o da altro pubblico ufficiale autorizzato
ad attribuirgli pubblica fede nel luogo dove l’atto è formato.”
6
Riproduzioni meccaniche
Art. 2712. Riproduzioni meccaniche.
“Le riproduzioni fotografiche o cinematografiche, le registrazioni
fonografiche e, in genere, ogni altra rappresentazione meccanica
di fatti e di cose formano piena prova dei fatti e delle cose
rappresentate, se colui contro il quale sono prodotte non ne
disconosce la conformità ai fatti o alle cose medesime.”
7
Il documento elettronico o
informatico
Un documento formato e memorizzato mediante
computer, come i documenti cartacei, deve essere:
inalterabile,
conservabile,
accessibile a distanza di tempo,
imputabile a un soggetto determinato,
riconosciuto giuridicamente.
8
La “dematerializzazione”
del supporto
Documento tradizionale: contenitore e contenuto
sono inscindibili (es. carta/inchiostro).
Documento su supporto informatico: i bit possono
essere trasferiti, riprodotti e memorizzati su infiniti
supporti diversi.
Qualsiasi strumento informatico impiegato in luogo
della sottoscrizione deve quindi essere apposto ai dati
che devono essere sottoscritti e non al supporto.
Strumento attualmente utilizzato: firma digitale.
9
Firma digitale. Cenni tecnici
Crittografia
Dal greco kryptos, “nascosto”.
Insieme di tecniche per rendere illeggibili
informazioni a soggetti che non dispongano della
‘chiave’ di lettura.
Può garantire: riservatezza, origine e non ripudio dei
messaggi inviati telematicamente.
E’ inoltre la tecnica alla base della firma digitale.
Può essere simmetrica (a
asimmetrica (a doppia chiave).
chiave
singola)
o
11
Le chiavi
Stringhe di dati generate mediante elaboratore in
base a complessi algoritmi.
Maggiore la lunghezza delle chiavi, più complessa
la formula matematica, minore la probabilità di
individuare la chiave privata in base alla conoscenza
della chiave pubblica, quindi più sicuro il sistema.
Una coppia di chiavi - un solo titolare
12
Crittografia simmetrica
La stessa chiave è utilizzata prima dal mittente per
cifrare il documento poi dal destinatario per
decifrarlo.
Occorre un canale di comunicazione sicuro per
scambiare la chiave.
E’ come se si impiegasse la stessa chiave per aprire e
chiudere una valigetta.
Sistema non del tutto sicuro e complesso da gestire.
13
Crittografia asimmetrica
Detta anche crittografia ‘a doppia chiave’ o ‘a chiave
pubblica’.
Sono impiegate due chiavi diverse (una privata e una
pubblica), in grado di funzionare solo congiuntamente.
Per rendere illeggibile il documento a terzi, il mittente cifra
il documento con la chiave pubblica del destinatario.
Per leggerlo, il destinatario lo decifra mediante la propria
chiave privata.
14
Firmare un documento 1/2
Il mittente firma il documento informatico con la
propria chiave privata (nota solo a lui).
Il destinatario legge il documento con la chiave
pubblica del mittente.
In questo modo è possibile essere certi della
provenienza del documento.
15
Firmare un documento 2/2
Il meccanismo è applicato non all’intero documento ma a
una sua “impronta digitale” (stringa di dati che ne
sintetizza in modo univoco il contenuto).
L’impronta è generata mediante algoritmi, le c.d.
“funzioni di hash”  garantiscono che sia impossibile
ottenere la stessa impronta partendo da due file di
dati diversi.
Se il documento sottoscritto digitalmente è modificato
anche di un solo bit l’algoritmo produrrà due impronte
diverse.
16
La certificazione
La firma digitale di per sé non è in grado di garantire la
reale identità del firmatario: questi potrebbe firmare a
nome di un terzo o con un nome inventato.
È previsto l’intervento di “terze parti fidate”, i c.d.
certificatori, che
1) verificano l’identità di un soggetto e
corrispondenza con la titolarità della
pubblica di cifratura;
la sua
chiave
2) attestano tali informazioni mediante l’emissione di un
certificato.
17
La conservazione delle chiavi
-le chiavi private sono conservate in un dispositivo di firma
(smart card)
-la chiave privata e il dispositivo non possono essere
duplicati
-chiave privata e dispositivo devono essere
conservati con diligenza - integrità e riservatezza
-informazioni di abilitazione alla chiave privata vanno
conservati in luogo diverso dal dispositivo
-richiedere immediatamente la revoca se si è perso il
possesso della chiave.
18
La disciplina giuridica essenziale
Una prima nozione di
documento informatico
Legge 23 dicembre 1993, n. 547, art. 3 (criminalità
informatica)
Inserimento nel codice penale dell’art. 491 bis (falsità in atti)
“Se alcune delle falsità previste dal presente capo
riguardano un documento informatico pubblico o privato, si
applicano le disposizioni del capo stesso concernenti
rispettivamente gli atti pubblici e le scritture private. A tal
fine per documento informatico si intende qualunque
supporto informatico contenente dati o informazioni aventi
efficacia probatoria o programmi specificamente destinati a
elaborarli”.
20
Norme essenziali
Legge 15 marzo 1997, n. 59
Direttiva 1999/93/CE del 13 dicembre 1999
D.P.R. 28 dicembre 2000, n. 445
D.P.C.M. 13 gennaio 2004
Deliberazione CNIPA n. 11/2004
D.Lgs. 7 marzo 2005, n. 82
21
Legge 15 marzo 1997, n. 59
“Gli atti, i dati e i documenti formati dalla Pubblica Amministrazione e
dai privati con strumenti informatici e telematici, i contratti stipulati
nelle medesime forme, nonché la loro archiviazione e trasmissione con
strumenti informatici e telematici, sono validi e rilevanti ad ogni effetto
di legge”.
Validità e rilevanza giuridica degli strumenti informatici e telematici
per:
- formazione di atti, dati e documenti
- stipulazione di contratti
- archiviazione e trasmissione di documenti
Stesso principio per la pubblica amministrazione e i privati.
Specifici regolamenti stabiliscono i criteri di applicazione.
22
Il Codice dell’amministrazione
digitale
D.Lgs. 7 marzo 2005, n. 82 (pubblicato nel Suppl. Ord.
93/L alla G.U. n. 112 del 16 maggio 2005).
Intende fornire un quadro normativo coerente per l’impiego
delle nuove tecnologie nella pubblica amministrazione.
Le disposizioni relative a documenti informatici, firme
elettroniche, pagamenti informatici, libri e scritture
si applicano anche ai privati.
Entrerà in vigore dal 1° gennaio 2006.
Abroga e sostituisce alcune disposizioni del D.P.R.
445/2000 in materia di firme elettroniche e documento
informatico.
23
Firma elettronica
“L’insieme dei dati in forma elettronica,
allegati
oppure
connessi
tramite
associazione
logica
ad
altri
dati
elettronici, utilizzati come metodo di
autenticazione informatica”.
24
Firma elettronica qualificata
“La
firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al
firmatario e la sua univoca autenticazione informatica,
creata con mezzi sui quali il firmatario può conservare un
controllo esclusivo e collegata ai dati ai quali si riferisce in
modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un
certificato qualificato e realizzata mediante un
dispositivo sicuro per la creazione della firma, quale
l’apparato strumentale usato per la creazione della firma
elettronica”.
25
Firma digitale 1/2
“Un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro, che
consente al titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica, rispettivamente,
di rendere manifesta e di verificare la provenienza e
l’integrità di un documento informatico o di un
insieme di documenti informatici”.
26
Firma digitale 2/2
La FD deve riferirsi in modo univoco a un solo
soggetto e al documento (o insieme di documenti)
cui è apposta o associata.
Integra e sostituisce sigilli, punzoni, timbri,
contrassegni e marchi di qualsiasi genere.
Per generare la FD deve essere impiegato un
certificato qualificato non scaduto, non revocato
o sospeso.
Dal certificato qualificato devono risultare la
validità, gli estremi del titolare e del certificatore ed
eventuali limiti d’uso.
27
Firma digitale autenticata
FD può essere autenticata da un notaio o altro
pubblico ufficiale autorizzato.
Il pubblico ufficiale verifica l’identità del firmatario
e la validità della chiave pubblica e attesta che la
firma è stata apposta in sua presenza.
Verifica inoltre che il contenuto del documento
corrisponda alla volontà della parte e non sia
contrario all’ordinamento giuridico.
La FD autenticata si considera giuridicamente
riconosciuta ai sensi dell’art. 2703 c.c. (non potrà
essere disconosciuta dal suo autore).
28
Documento informatico
“La rappresentazione informatica di atti, fatti o
dati giuridicamente rilevanti”.
Soddisfa il requisito legale della forma scritta
se sottoscritto con firma elettronica
qualificata o con firma digitale nel rispetto
delle regole tecniche, che garantiscano
identificabilità dell’autore e integrità del
documento.
29
Valore probatorio del DI
DI con firma elettronica: liberamente valutabile in
giudizio, tenuto conto delle caratteristiche oggettive di
qualità e sicurezza.
DI con firma digitale (o altra firma elettronica
qualificata): efficacia dell’art. 2702 c.c. (scrittura privata)
“fa piena prova, fino a querela di falso, della provenienza
delle dichiarazioni da chi l’ha sottoscritta, se colui contro il
quale la scrittura è prodotta ne riconosce la sottoscrizione,
ovvero se questa è legalmente considerata come
riconosciuta.”
Utilizzo del dispositivo di firma si presume riconducibile al
titolare salvo prova contraria.
30
La data
del documento informatico
A un documento informatico possono essere attribuiti
data e ora certa mediante l’apposizione di una marca
temporale.
La m.t. prova l’anteriorità della sottoscrizione
rispetto alla revoca o sospensione del certificato.
Il documento cartaceo, una volta formato, non
richiede ulteriori interventi per mantenere la sua
validità e rilevanza giuridica.
L’apposizione di una m.t. permette di estendere gli
effetti giuridici del documento informatico, anche
oltre il termine di validità della chiave di sottoscrizione.
31
La validità nel tempo
del documento informatico
Il documento cartaceo, una volta formato, non richiede
ulteriori interventi per la sua validità.
La conservazione del documento informatico
sottoscritto necessita della marcatura temporale.
Ciò permette la continuità nel tempo degli effetti
giuridici del documento informatico, anche oltre il
limite della validità della chiave di sottoscrizione.
32
Rilevanza della marcatura
temporale
Attribuisce data ed ora certa al documento
informatico.
Prova l’anteriorità della sottoscrizione rispetto
alla revoca o sospensione del certificato.
Permette di estendere l’efficacia del documento
informatico.
33
Copie di atti e
documenti informatici 1/2
Il Codice modifica l’art. 2712 del codice civile,
aggiungendo il concetto di riproduzioni ‘informatiche’.
“Le
riproduzioni
fotografiche,
informatiche
o
cinematografiche, le registrazioni fonografiche e, in
genere, ogni altra rappresentazione meccanica di fatti e
di cose formano piena prova dei fatti e delle cose
rappresentate, se colui contro il quale sono prodotte
non ne disconosce la conformità ai fatti o alle cose
medesime.”
34
Copie di atti e
documenti informatici 2/2
Copie informatiche di originali cartacei non
unici sostituiscono a ogni effetto di legge gli originali
se la loro conformità è attestata dal responsabile
della conservazione con propria firma digitale.
Copie informatiche di originali cartacei unici
sostituiscono a ogni effetto di legge gli originali se la
conformità è autenticata da notaio o altro pubblico
ufficiale autorizzato con dichiarazione allegata al
documento informatico e asseverata secondo le
regole tecniche.
35
Trasmissione del documento
informatico
Il documento informatico inviato telematicamente si
intende:
- spedito dal mittente se inviato al proprio
gestore;
- consegnato al destinatario se reso disponibile
all’indirizzo elettronico da questi dichiarato, nella
casella di posta elettronica del destinatario messa
a disposizione dal gestore.
36
Tutela della segretezza
Per i D.I. inviati telematicamente è prevista una tutela
di segretezza analoga a quella della corrispondenza
cartacea.
Gli addetti alla trasmissione non hanno il diritto di
prendere cognizione del contenuto dei D.I., di
effettuare copie o cedere informazioni a terzi.
I dati sono di proprietà del mittente finché non
pervengono al destinatario.
37
Codice: trasmissione mediante
posta elettronica certificata
L’invio telematico di comunicazioni che richiedono una
ricevuta di invio e di consegna avviene mediante
pec.
La trasmissione del documento informatico per via
telematica mediante pec equivale, nei casi consentiti
dalla legge, alla notificazione a mezzo posta.
Data e ora di trasmissione e ricezione di un
documento informatico mediante pec sono
opponibili ai terzi se conformi alla normativa vigente,
incluse le regole tecniche.
38
La certificazione
Funzione basilare: garantire la corrispondenza
tra gli strumenti di firma e la loro titolarità,
garantendo
l’identificazione
del
soggetto
legittimato a firmare.
39
Obblighi del titolare e del
certificatore
Il titolare deve adottare tutte le misure organizzative
e tecniche idonee ad evitare danno ad altri e
custodire e utilizzare il dispositivo di firma con la
diligenza del buon padre di famiglia.
Il certificatore deve adottare tutte le misure
organizzative e tecniche idonee ad evitare danno
ad altri, compreso il titolare del certificato.
Il certificatore è responsabile dell’identificazione del
soggetto che richiede il certificato qualificato di firma,
anche se l’attività è delegata a soggetti terzi.
40
Compiti dei certificatori 1/2
1) identificare con certezza il richiedente
2) rilasciare e rendere pubblico il certificato
3) indicare ulteriori requisiti nel certificato qualificato
4) rispettare le regole tecniche
5) fornire informazioni sulla procedura
6) rispettare misure minime sicurezza per il trattamento
dei dati personali
7) non accettare in deposito dal titolare i dati per
generare firme
41
Compiti dei certificatori 2/2
8) pubblicare tempestivamente revoca e sospensione del
certificato
9) gestire in modo ottimale i servizi di elencazione, revoca
e sospensione
10)determinare con certezza data e ora di rilascio, revoca
e sospensione dei certificati
11)conservare per 10 anni tutte le informazioni sui
certificati qualificati emessi
12)non copiare o conservare le chiavi private di firma degli
utenti
13)fornire informazioni su supporto durevole
14)gestire il registro dei certificati.
42
Responsabilità dei certificatori 1/2
I certificatori che rilasciano un certificato qualificato o che
garantiscono al pubblico l’affidabilità del certificato, se non
provano di avere agito senza colpa o dolo, sono
responsabili dei danni arrecati a chi ha fatto ragionevole
affidamento su:
a) esattezza e completezza delle informazioni necessarie per
verificare la firma;
b) garanzia che al momento del rilascio del certificato il
firmatario detenesse i dati per la creazione della firma
corrispondenti ai dati per la verifica;
c) garanzia che i dati per la creazione e per la verifica della
firma funzionino in modo complementare (se entrambi
generati dal certificatore);
d) adempimento degli obblighi di legge (art. 32 Codice).
43
Responsabilità dei certificatori 2/2
I certificatori che rilasciano un certificato qualificato o che
garantiscono al pubblico l’affidabilità del certificato sono
responsabili dei danni derivanti da mancata o non
tempestiva registrazione della revoca o della
sospensione del certificato, a meno che non provino
di avere agito senza colpa.
I certificatori non sono responsabili dell’uso di un
certificato che ecceda eventuali limiti d’uso o di valore, se
riconoscibili da parte dei terzi e chiaramente
evidenziati nel processo di verifica.
44
Accesso al mercato
Attività dei certificatori:
è libera,
non richiede autorizzazione preventiva.
Dipartimento per l’innovazione e le tecnologie:
ha funzioni di vigilanza e controllo,
può avvalersi dell’AIPA e di altre strutture
pubbliche.
45
Accreditamento
Riconoscimento di requisiti di livello più
elevato
Funziona su base volontaria
Richiesta al Dipartimento
Necessari requisiti tecnici,
finanziaria e di onorabilità
di
solidità
Iscrizione in elenco pubblico
46
Le regole tecniche. Cenni.
D.P.C.M. 13 gennaio 2004.
“Regole tecniche per la formazione, la trasmissione,
la conservazione, la duplicazione, la riproduzione e
la validazione, anche temporale, dei documenti
informatici”.
(Gazz. Uff. 27 aprile 2004, n. 98).
47
Macroistruzioni e codice eseguibile
Il documento informatico sottoscritto con firma digitale
NON produce gli effetti giuridici previsti dal Testo
Unico se contiene macroistruzioni o codici
eseguibili in grado di modificare gli atti, i fatti o i dati
rappresentati nel documento stesso.
(art. 3, c. 3)
48
Tipi di chiavi
Chiavi di sottoscrizione (per la generazione e verifica
delle firme apposte o associate ai documenti
informatici).
Chiavi di certificazione (per la generazione e verifica
delle firme apposte o associate ai certificati qualificati,
alle liste di revoca e sospensione, o per la sottoscrizione
dei certificati relativi a chiavi di marcatura temporale).
Chiavi di marcatura temporale (per la generazione
e verifica delle marche temporali).
(art. 4, c. 4)
49
Conservazione delle chiavi
E’ vietato duplicare la chiave privata e i dispositivi che
la contengono.
Il titolare di una coppia di chiavi deve:
conservare la chiave privata e il dispositivo che la
contiene con la massima diligenza, per garantirne
integrità e riservatezza;
conservare le informazioni di abilitazione all’uso della
chiave privata separatamente dal dispositivo che
contiene la chiave;
richiedere immediatamente la revoca dei certificati
qualificati se il dispositivo risulta difettoso o se ne ha
perduto il possesso.
(art. 7)
50
Periodo di validità dei certificati
Il certificatore determina il periodo di validità dei
certificati qualificati.
Il certificatore custodisce le informazioni relative ai
certificati qualificati per un periodo di almeno 10
anni dalla data di scadenza o revoca del certificato.
(art. 15)
51
Revoca e sospensione del
certificato qualificato
Se la chiave privata o il dispositivo sono
compromessi, il certificatore è tenuto a revocare o
sospendere il certificato.
E’ necessario specificare data e ora di pubblicazione
nella lista di revoca/sospensione.
Revoca può avvenire:
su iniziativa del certificatore,
su richiesta del titolare,
su richiesta del terzo interessato da cui derivano i poteri
di rappresentanza del titolare.
(artt. 16-24)
52
Accesso ai certificati
Le liste dei certificati revocati e sospesi devono essere
rese pubbliche
I certificati qualificati possono essere resi accessibili al
pubblico su richiesta del titolare, o comunicati a
terzi nei casi consentiti dal titolare(sempre nel
rispetto del D.Lgs. 30 giugno 2003, n. 196)
Le liste possono essere utilizzate solo per le finalità di
applicazione delle norme sulla verifica e validità della
firma digitale.
(art. 29)
53
Lunghezza delle chiavi
In attesa della pubblicazione degli algoritmi per la
generazione e verifica della firma digitale previsti
dalle regole tecniche, i certificatori accreditati
devono utilizzare l’algoritmo RSA con lunghezza
delle chiavi non inferiore a 1024 bit.
(art. 53)
54